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Procede d'activation et de protection anti-fraude d'un dispositif 
electronique de jeu, et dispositif correspondant. 



L'invention concerne l'activation et la protection anti-fraude 
d un dispositif electronique de jeu et le dispositif correspondant. 

On connaTt actuellement differents jeux, notamment des jeux 
de hasard, permettant a un joueur de gagner des sommes d'argent 
moyennant le paiement d une mise de d6part. Ainsi, par exemple dans 
le jeu appeie "Loto" (marque deposee) le joueur coche une s6rie de 
chiffres sur un ticket qu'il fait valider aupres d'un organisme 
sp6cialis6 en acquittant un prix correspondant a la mise de depart. Un 
tirage au sort ulterieur est effectue sous contrdle dans un endroit 
choisi et, les joueurs en possession dun ticket gagnant peuvent retirer 
leurs gains aupres d'un organisme payeur. 

D'autres jeux consistent a se procurer un ticket et a gratter 
celui-ci en des endroits designs de facon a decouvrir des informations 
permettant de definir si le ticket en question est gagnant ou perdant. 

Par rapport a ces jeux classiques necessitant un support- 
papier, il a deja ete envisage de proposer, dans le brevet francais 
n° 92 13 239, un concept radicalement different de dispositif de jeu de 
hasard. 

Selon ce concept, il est pr6vu un boTtier portable destine a 
permettre a un joueur d'effectuer une ou plusieurs epreuves de jeux de 
hasard, la reussite ou l'echec auxdites epreuves conditionnant un score 
ou un niveau de gain suivant des regies de jeu predetermines. Ce 
boitier constitue alors egalement reiement de transaction pour le 
paiement du gain et comporte tous les elements necessaires pour la 
verification de celui-ci. 
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Cependant, de par sa conception et notamment pour des 
raisons de s6curite, chaque boitier autonome ne peut etre utilise qu'une 
seule et unique fois. Ceci pose naturellement un probleme economique 
et 6cologique en raison de cette utilisation unitaire combinee avec une 
5 diffusion estim6e de Vordre de plusieurs dizaines de millions d'unitSs 
par mois. 

Outre le fait que ce type de boitier ne peut etre utilise qu'une 
seule fois, il est par ailleurs associe a un type de jeu unique. Or, le 
marche actuel des jeux de hasard montre que la dur6e de vie d un type 
10 de jeu est generalement courte et que ceux-ci doivent etre renouveles 
souvent ce qui conduit alors le fabricant du boitier a concevoir en 
permanence de nouvelles formes ext6rieures pour le produit ainsi que 
de nouvelles interfaces logicielles. 

L'invention vise a apporter une solution a ces problemes. 
Un but de l'invention est de proposer un dispositif 
electronique de jeu capable d'etre utilisable plusieurs fois avec 
6ventuellement differents types de jeu. 

Un probleme tres important inherent a de tels dispositifs de 
jeu reside dans la s6curit6 anti-fraude, en particulier lorsque certains 
20 types de jeu sont associ6s a des gains importants. 

L'invention vise par cons6quent a int6grer cette notion de 
securit6 dans un dispositif de jeu multi-applicauons et multi- 
utilisations. 

L'invention propose done tout d'abord un procede d'activation 
25 et de protection anti-fraude dun dispositif electronique de jeu 
comportant au moins un boitier dans lequel a ete stocke au moins une 
cle de cryptage-r6sultat, ainsi qu'au moins un objet portatif capable de 
cooperer avec le boitier, et dans lequel a ete stock6 un ensemble de 
donn6es num6riques de jeu authentifiable et representatif dun jeu. 

30 Selon ce procede, on fait coop6rer l'objet portatif avec le boitier. On 
v6rifie au sein du boitier l authentification de l'ensemble de donnees 
de jeu et on stocke cet ensemble de donn6es de jeu dans une m6moire 
de travail du boitier, de fagon a autoriser le d6roulement du jeu au 
niveau du boitier. Puis, apres le deroulement d'au moins une partie du 

35 jeu, on crypte au sein du boitier une information de r6sultat 



WO 96/34368 



3 



PCI7FR96/00645 



d6pendante dudit jeu, a l'aide au moins de ladite cle de cryptage- 
rgsultat. On stocke cette information de r6sultat cryptee dans une 
memoire de nSsultat de 1'objet portatif. Puis, on fait coop6rer 1'objet 
portatif avec une station de validation ayant acces a ladite c\6 de 
cryptage-resultat, ladite station effectuant un traitement de validation 
a partir au moins de ladite information de r6sultat cryptee et de ladite 
cl6 de cryptage-r6sultat. 

Ainsi, selon 1'invention, on deporte les donnees numeriques 
de jeu, c'est-a-dire lapplicatif ou le logiciel de jeu, a 1'exterieur du 
boitier <§lectronique et on l'incorpore dans une memoire dun objet 
portatif qui peut se presenter sous differentes formes, telles que carte 
de credit, domino, jeton, etc. 

Quant au boitier electronique, celui-ci peut etre vendu une 
seule fois et etre utilisable plusieurs fois avec tout objet portatif 
contenant un logiciel de jeu. 

Selon l'invention c'est done 1'objet portatif qui est destine a 
contenir a la fois les donnees numdriques de jeu deTinissant le jeu 
proprement dit, ainsi que Information de r6sultat permettant au 
joueur de faire valider ce resultat de facon a toucher 6ventuellement 
son gain. En dautres termes, 1'objet portatif constitue ici l*61ement de 
transaction tandis que le boitier ne sert uniquement au joueur que pour 
jouer. 

La notion de "cryptage" doit s'interpr6ter tres largement 
comme etant une "protection a l'aide de moyens cryptographiques". 
Ceci 6tant, a des fins de simplification, seuls les termes cryptage, 
d6cryptage, crypter, dgcrypter seront employes dans la suite du texte. 

L'information de r6sultat qui va etre cryptee dans le boitier 
avant d'etre transferee dans lobjet portatif, depend naturellement de la 
nature du jeu. II peut s'agir par exemple d'une information binaire du 
type "gagnS" ou "perdu", ou bien encore, par exemple, d'une 
information representative d'un niveau de gain. 

Pour des raisons de security l'ensemble de donnees 
num6riques de jeu stocks dans 1'objet portatif est authentifiable de 
fa^on a permettre la verification de son authentification au sein du 
boitier. Au sens de la presente invention, le mot "authentifiable" doit 
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etre interpret* de facon large incluant par' exemple un stockage en 
"clair" des donnees numeriques de jeu proprement dites conjointement 
a un certificat d'authentification obtenu, a partir de ces donnees 
num6riques de jeu, par un algorithme approprie, ou bien encore un 
cryptage au moins partiel de cet ensemble, ou par exemple un cryptage 
du certificat d'authentification. 

La verification de l'authentification de lensemble de donnees 
de jeu peut s'effectuer avant, pendant ou apres le stockage de celui-ci 
dans la m6moire de travail du bolder. 

II convient 6galement de remarquer ici que, selon l'invention, 
I'ensemble des donn6es numeriques de jeu est transfer* dans la 
mdmoire de travail du boitier (en pratique ces donn6es sont par 
exemple lues dans l'objet portatif puis recopiees dans la m6moire de 
travail du boitier) de sorte que la cooperation entre l'objet portatif et 
le boitier pourrait 6ventuellement etre supprim6e pendant le 
d6roulement du jeu au niveau du boitier. 

L'invention 6vite done ainsi l'emploi de moyens logiciels 
complexes que necessiterait l'exploitation directe du logiciel de jeu de 
l'objet portatif par 1W6 de traitement du boitier sans transfert dans 
la m6moire du boitier. Aussi, selon un mode de mise en oeuvre du 
procede selon l'invention, il est avantageusement prevu que 1'ensemble 
de donnees de jeu d'un objet portatif soit lu par 1'intermediaire dun 
protocole serie entre l'objet portatif et le boitier. Ce qui permet de 
minimiser les moyens mat6riels et logiciels de l'objet portatif. 
L'exploitation directe du logiciel de jeu s'effectue par I'urutd de 
traitement du boitier directement dans la m6moire de travail de celui- 

D'une fa 9 on tres g 6n6rale, le traitement de validation effectu6 
par la station de validation doit permettre de d6terminer et/ou de 
v6rifier 1'information de r6sultat a partir du contenu de l'objet portatif. 
En effet seul ce contenu memoris6 doit faire foi pour autoriser un 

paiement 6ventuel d'un gain. 

Le traitement de validation effectu6 par la station de 
validation peut comporter un decryptage de 1'information de resultat 
cryptee et stock6e dans la m6moire de resultat de l'objet portatif, a 
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l'aide de la cie de cryptage-resultat. 

En variante, ce traitement de validation peut s'effectuer d une 
maniere diff6rente. Plus pr^cisdment, on peut stocker dans l'objet 
portatif, conjointement avec Information de r6sultat cryptee, 
linformation de r6sultat non cryptee c'est-a-dire "en clair". La station 
v6rifie alors ladite information de r6sultat en recryptant, a l'aide de la 
c\6 de cryptage-resultat, l information de r6sultat non cryptee qui est 
stockde dans l'objet portatif et en comparant cette information de 
rgsultat recryptee avec l'information de resultat cryptee et stockee 
dans la m^moire de resultat de l'objet portatif. 

Afin d'augmenter encore la securitd, il est avantageusement 
pr6vu que lorsque l'authentification de l'ensemble de donnees de jeu 
de l'objet portatif a 6t6 verifi6 et que ledit ensemble a 6t6 stocke dans 
la m6moire du travail du bolder, on interdise toute exploitation 
ulterieure par le boitier, de l'ensemble de donnees de jeu de cet objet 
portatif. 

Ceci permet notamment d'6viter qu'un joueur ne s'entraine a 
jouer a un type de jeu, en particulier lorsque celui-ci est en fait un jeu 
de r6flexe. 

Au sens de la pr6sente invention, l'interdiction de toute 
exploitation ulterieure doit s'entendre dans un sens tres large 
signifiant par exemple que, soit le boitier ne peut plus lire l'ensemble 
de donnees, soit il ne peut plus verifier son authentification. En 
d'autres termes, le bolder sera alors inapte au jeu avec cet objet 
portatif. 

Le dispositif selon l'invention comprend generalement 
plusieurs boitiers et plusieurs objets portatifs. Aussi, lorsque 
l'authentification de l'ensemble de donndes de jeu de l'un des objets 
portatifs a 6t6 verifiee et que ledit ensemble a €t€ stocke dans la 
memoire de travail de l'un des boitiers, on interdit alors 
avantageusement toute exploitation ulterieure par l'un quelconque des 
boitiers, de l'ensemble de donnees de jeu de cet objet portatif. 

Selon un mode de mise en oeuvre du procede selon 
rinvention, on peut authentifier l'ensemble de donnees de jeu stocke 
dans l'objet portatif en y adjoignant un certificat d'authentification lie 
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de facon biunivoque aux donnees numeriques de jeu. La verification 
de l'authentification de l'ensemble de donn6es de jeu comporte alors 
un recalcul du certificat dauthentification au sein du boitier et une 
comparaison entre le certificat d'authentification recalcule et le 
certificat d'authentification stocke dans l'objet portatif. 

Ainsi, on peut interdire toute exploitation ulteneure d'un 
ensemble de ' donn*es de jeu en alterant dans l'objet portatif 
corresponds au moins partiellement ledit certificat 
dauthentification et/ou au moins partiellement les donnees de jeu 
proprement dites. On peut a cet effet envisager de modifier 
arbitrament la valeur de certains des bits du certificat 
d authentification et/ou de certaines des donnees numeriques de jeu. 
De ce fait, si un joueur essaye de rejouer avec le meme objet portatif, 
1'unite de traitement du boitier recalculera un certificat 
d'authentification qui differera du certificat d'authentification alt6re, 
ce qui interdira toute activation du jeu. 

Toujours dans le but d'augmenter la securite, notamment en 
ce qui concerne le paiement de gains 6ventuels, on autorise 
avantageusement le stockage de 1'information de resultat crypt6e dans 
l'objet portatif que si l'on a, au pr6alable, interdit toute exploitation 
ulterieure de l'ensemble de donn6es de jeu de cet objet portatif. 

Selon un mode de mise en oeuvre du proced6, on peut stocker 
dans le boitier au moins une cle de cryptage-jeu. L'authentification de 
l'ensemble de donees de jeu stocke dans l'objet portatif peut 
comporter alors un cryptage au moins partiel de cet ensemble de 
donees de jeu, ou d'une information reliee a cet ensemble de donnees 
de jeu (par exemple le certificat d'authentification), a l'aide de la cl6 
de cryptage-jeu, et ce, avant lecture par l'unit6 de traitement du 
boitier, de l'ensemble de donnees de jeu de l'objet portatif. La 
verification de l'authentification de l'ensemble de donndes de jeu 
comporte alors un ddcryptage au sein du boitier a l'aide de la cl6 de 
cryptage-jeu. En d'autres termes, le transfert crypt6 de I'apphcatif, ou 
du certificat d'authentification associe, permet d'6viter le chargement 
d'un applicatif frauduleux conduisant ineluctablement a 1'obtention 
35 d'un gain. 
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On peut eventuellement ne crypter et ne d6crypter que le 
certificat d'authentification. 

Lorsqu'une cle de cryptage-boitier est stockee dans le boitier, 
on peut stocker dans le boitier la cle de cryptage-jeu qui a 6t6 au 
prdalable cryptee a l'aide de la cte de cryptage-boitier. Ceci permet 
encore d'augmenter la security et de rendre encore plus difficile la 
connaissance par un tiers de la cte de cryptage-jeu. 

La c\6 de cryptage-jeu peut etre commune a tous les boTtiers 
et a tous les objets portatifs. La cle de cryptage-boitier est quant a elle 
de preference diff£rente pour chaque boitier. La cl6 de cryptage- 
boitier d un boitier est stockee dans celui-ci avant le stockage de la cle 
de cryptage-jeu, par exemple lors de sa fabrication. Par ailleurs, 
l'ensemble de donnees de jeu d'un objet portatif peut etre stocks dans 
celui-ci, deja au moins partiellement crypt<§, ou associ£ a une 
information deja au moins partiellement cryptee, a l'aide de la cte de 
cryptage-jeu. En d'autres termes, lors de la fabrication en usine des 
objets portatifs, on peut par exemple determiner in situ le certificat 
d'authentification correspondant, crypter ce dernier, et stocker dans 
l'objet portatif, avant diffusion dans le public, les donnees de jeu 
proprement dites suivies de leur certificat d'authentification crypte. 

D'une facon generate, la cl6 de cryptage-r£sultat peut etre la 
cle de cryptage-boitier, ou bien la cl6 de cryptage-jeu, ou bien etre 
obtenue a partir d'une combinaison de ces deux cles. 

Lorsque la cl6 de cryptage-resultat est la cl6 de cryptage-jeu, 
toute station de validation connait cette cte de cryptage-jeu puisqu'elle 
est commune a tous les elements du dispositif. Ceci £tant, lorsque la 
cl6 de cryptage-r6sultat n'est pas connue a l avance par la station de 
validation, il est prevu que I on stocke dans l'objet portatif coop6rant 
avec le boitier, une information de cl6 associ6e de facon biunivoque a 
ladite c\6 de cryptage-resultat, la station de validation ayant alors 
acces a ladite c\6 de cryptage-resultat en lisant ladite information de 
cl6 stock6e dans l'objet portatif. 

Ainsi, si par exemple la cl6 de cryptage-rgsultat est la cl6 de 
cryptage-boitier, il peut 6tre avantageusement prevu d'associer a 
chaque boitier un identifiant le definissant de fagon unique, et 
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permettant d'identifier par la meme la cl6 de cryptage-boitier qui a 6t6 
stock6e dans le boitier. Une table d'identifiants peut etre par exemple 
stockee de facon protegee dans un ordinateur central auquel sont 
reli6es toutes les stations de validation. L'identifiant du boitier est 
5 alors stock6 avec l'information de r6sultat cryptee dans l'objet portatif. 
La station de validation ayant alors acces a l'identifiant ainsi qu'a la 
table de correspondance peut determiner la cie de cryptage-r^sultat et 
decrypter l'information de r6sultat cryptee. 

L'invention a 6galement pour objet un dispositif eiectronique 
10 de jeu. Selon une caractdristique g6n6rale de l'invention, ce dispositif 
eiectronique de jeu comprend au moins un boitier, au moins un objet 
portatif et au moins une station de validation. L'objet portatif 
comporte une memoire de jeu contenant un ensemble de donnees de 
jeu authentifiable et reprdsentatif dun jeu, une memoire de r6sultat 
15 apte a contenir une information de r6sultat cryptee, une premiere 
interface de communication apte a coop6rer avec une interface de 
communication-boitier, et une deuxieme interface de communication 
apte a communiquer avec une interface de communication-station. Le 
boitier comporte une memoire de cl6 contenant au moins une cl6 de 
20 cryptage-r6sultat, une memoire de travail accessible en 6criture et en 
lecture, et une unite de traitement reliee a ces m6moires ainsi qu'a 
l'interface de communication-boitier. L'unit6 de traitement est capable, 
lors d une cooperation entre l'interface de communication-boitier et la 
premiere interface de communication de l'objet, de v6rifier 
25 l'authentification de l'ensemble de donn6es de jeu memorise dans 
l'objet et de stocker ledit ensemble dans la memoire de travail de 
facon a permettre le ddroulement du jeu au niveau du boitier. L'unit6 
de traitement du boitier est 6galement capable de crypter une 
information de r£sultat d6pendante dudit jeu, a l'aide de la cl6 de 
30 cryptage-rdsultat, et de communiquer cette information de r£sultat 
cryptee a l'interface de communication-boitier aux fins de son 
stockage dans la memoire de r6sultat de l'objet. La station de 
validation comporte des moyens aptes a determiner ladite cie de 
cryptage-r6sultat et des moyens de traitement-station aptes a lire 
35 l'information de rdsultat cryptee via l'interface de communication- 
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station, lors d'une cooperation entre l'objet portatif et la station, et a 
effectuer un traitement de validation a partir au moins de l'information 
de resultat cryptee et de la cl6 de cryptage-resultat. 

Dans le cas oil le dispositif eiectronique de jeu comprend 
plusieurs boitiers, plusieurs objets portatifs et plusieurs stations de 
validation, l'un quelconque des objets portatif est capable de cooperer 
avec l'un quelconque des boitiers et avec Tune quelconque des stations 
de validation. 

Selon un mode de realisation du dispositif selon 1'invention, 
la premiere interface de communication de l'objet portatif est une 
interface serie. Par ailleurs, et pour des raisons d'6conomie, il est 
possible de prevoir que l'objet portatif ne comporte qu'une seule et 
mSrne interface de communication capable de cooperer avec 1'interface 
de communication-boTtier ou avec 1'interface de communication- 
station. 

Les moyens de traitement-station peuvent comporter des 
moyens de decryptage-station aptes a d6crypter l'information de 
resultat cryptee aux fins de sa determination. 

En variante, lunite de traitement du boitier est apte a 
communiquer egalement l'information de resultat non cryptee a 
1'interface de communication-boitier aux fins de son stockage dans la 
m6moire de resultat de l'objet. Les moyens de traitement-station sont 
alors en outre aptes a lire l'information de resultat non cryptee via 
1'interface de communication-station. lis comportent alors des moyens 
de cryptage-station aptes a crypter ladite information de r6sultat non 
cryptee a l'aide de la cie de cryptage-resultat, ainsi que des moyens de 
comparaison pour comparer l'information de resultat cryptee 
recalcuiee, avec l'information de resultat cryptee stock6e dans la 
memoire de resultat de l'objet portatif. Cette comparaison permet ainsi 
de verifier l'information de resultat. 

Lorsque l'ensemble de donn6es de jeu authentifiable est 
associe a un certificat d'authentification, les moyens de verification de 
l'authentification de cet ensemble de donnees de jeu comportent alors 
de preference des moyens de calcul de certificat aptes a recalculer 
ledit certificat d'authentification au sein du boitier, a partir de 
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l'ensemble de donnees de jeu, et des moyens de comparaison apte a 
comparer le certificat recalcul6 et le certificat stocke dans la memoire 

de jeu de l'objet portatif. 

Selon un mode de realisation du dispositif, il est possible de 
5 P r6voir des moyens de cryptage apte a crypter au moins partiellement 
l'ensemble de donnees de jeu authentifiable, ou une information reh6e 
* cet ensemble de donn6es de jeu (par exemple le certificat 
d'authentification), a partir d'au moins une cle de cryptage-jeu. La 
m6moire de cl6 du boitier est alors apte a contenir cette cl6 de 
10 cryptage-jeu tandis que les moyens de verification de 1'authentification 
de l'ensemble de donnees de jeu comportent des moyens de decryptage 
relies a la m6moire de cle. Ces moyens de cryptage peuvent ne crypter 
que le certificat d'authentification. Ces moyens de cryptage peuvent 
etre incorpores au sein d'une unite de fabrication de facon * delivrer 
15 directement un ensemble de donnees de jeu au moins partiellement 
crypt6 ou un certification d'authentification deja au moins 
partiellement crypte, qui sera destine a etre stock* tel quel dans l'objet 
portatif. Cependant, on peut prdvoir en variante que les moyens de 
cryptage soient incorpor6s a l'objet portatif, notamment lorsque celm- 
20 ci comporte un micro-controleur contenant de facon logicielle ces 

moyens de cryptage. 

De meme, le fait de prevoir un objet portatif "intelligent , 
c'est-a-dire pourvu d'une unit6 centrale par exemple, permet egalement 
d'incorporer dans l'objet portatif des moyens permettant d'interdire 
25 toute exploitation ult6rieure d un ensemble de donnees de jeu d'un 
objet portatif apres une premiere exploitation. Ce moyens, qui peuvent 
etre realises par exemple de facon logicielle, sont ainsi par exemple 
aptes a modifier la valeur de certains des bits de l'ensemble de 
donnees de jeu ou de son certificat d authentification. 
30 D'autres avantages et caracteristiques de linvention 

apparaltront a 1'examen de modes de mise en oeuvre et de realisation 
de 1'invention, nullement limitatifs, et des dessins annex6s sur 
lesquels : 

- la figure 1 represente tres schematiquement l architecture 
35 mat6rielle d'un objet portatif d'un dispositif selon 1'invention, 
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- la figure 2 repr6sente tres sch6matiquement larchitecture 
materielle d'un boitier du dispositif selon 1'invention, 

- la figure 3 repr6sente tres schematiquement l'architecture 
matenelle d'une station de validation du dispositif selon 1'invention, 

- les figures 4a et 4b illustrent schematiquement un mode de 
mise en oeuvre du proc6d6 selon 1'invention, et 

- les figures 5 et 6 illustrent deux variantes de mise en oeuvre 
du proc6d6 selon 1'invention. 

Le dispositif selon 1'invention comporte plusieurs boitier 
electroniques autonomes BT, plusieurs objets portatifs OB et plusieurs 
stations de validation ST. 

Tel qu'illustnS sur la figure 1, chaque objet portatif OB, par 
exemple une carte du type carte a puce, un jeton, ou un module, 
comporte, par exemple au sein dun ASIC (Application Specific 
15 Integrated Circuit) un micro-contrdleur CPU reli<§ par l'intermecliaire 
dun bus a une interface d'entree sortie ESC du type serie, a une 
memoire de jeu MJ, ainsi qu'a une m6moire de r6sultat MR, telle qu'un 
registre. 

Comme on le verra plus en detail ci-apres, la memoire de jeu 
MJ, par exemple une m6moire morte, est destinee a recevoir un 
ensemble de donnees numeriques de jeu, ou logiciel de jeu, 
repr6sentatif d un type particulier de jeu. 

Le registre MR est destin<5 quant a lui a recevoir une 
information de r6sultat crypt6e provenant du boitier BT apres le 
25 d6roulement d'au moins une partie du jeu. 

L'interface ESC comporte des moyens de cooperation avec 
une interface homologue ESB du boitier BT (figure 2) et une interface 
homologue ESS de la station ST (figure 3). Ces moyens de cooperation 
peuvent consister en un connecteur mecanique ou bien en des moyens 
de couplage capacitif/inductif, ou optique. 

Comme illustr6e plus particulierement sur la figure 2, la 
structure electronique materielle du boitier portable BT s'articule 
amour d'une unit6 de traitement UT, telle qu'un microprocesseur ou un 
micro-contrdleur. Cette unit6 de traitement UT est reliee par 
l'intermSdiaire d'un bus a une m6moire de travail MT, accessible en 
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ecriture et en lecture, par exemple une memoire a acces aleatoire 
(RAM), a une memoire de programme MM ainsi qu'a une memoire type 
de cle MC qui est une m6moire protegee pouvant etre une partie de la 
memoire MM. 

5 L'unite de traitement est 6galement reli6e a un 6cran 

d'affichage a cristaux liquides AF ainsi qu'a un clavier CI comportant 
par exemple des touches de commande de mouvements dans deux 
directions orthogonales. Enfin, l'unite de traitement est reli6e a une 
interface de communication-boitier ESB apte a cooperer avec 

10 Interface de communication ESC, et pouvant par exemple comporter 
un connecteur mecanique dispose dans un logement dans lequel peut 
etre insere le connecteur de l'objet portatif. L'interface ESB comporte 
egalement des moyens de conversion serie/parallele reli6s au bus 
interne du boitier. 

15 L'ensemble des moyens de ce boitier est alimentd par des 

moyens d' alimentation autonomes AL tels que des piles. Tout ou partie 
des composants de ce boitier peuvent etre r6alis6s sous la forme d'un 
Asic. 

La memoire de travail MT est dimensionn6e de facon a 
20 pouvoir recevoir l'applicatif de jeu stocke dans la memoire MJ de 
l'objet tandis que la mdmoire MM contient le programme de gestion 
interne du boitier (gestion des entrees/sorties, gestion du clavier, de 
l'ecran, programme de chargement de l'applicatif dans la m6moire de 
travail...). 

25 Selon lexemple de realisation d6crit en reference a la figure 

3 chaque station de validation ST comporte un bloc de traitement 
articuie autour d'un processeur PR reli6 a une interface d'entree/sortie 
ESS capable de coop6rer avec l'interface d'entree sortie ESC de l'objet 
portatif. Par ailleurs, la station est reli6e par Vintermediaire d'une 

30 liaison appropriee, a un fichier central TB contenant des informations 
necessaires, comme on le verra plus en ddtail ci-apres, a la 
verification de l'information de resultat contenue dans l'objet portatif. 

Le processeur PR de la station incorpore de fagon logicielle 
les diff6rents moyens fonctionnels necessaires au fonctionnement de 
35 celle-ci (cryptage, ddcryptage, comparaison, lecture...). 
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On va maintenant decrire plus en detail, en se refeYant 
particulierement aux figures 4a a 4b, un premier mode de mise en 
oeuvre du proc6de selon l'invention. 

Sur un site de fabrication, 1'ensemble de donnees de jeu 
num6riques JE, formant le logiciel applicatif de jeu, est trait6 par des 
moyens de traitement comportant un algorithme de calcul de certificat 
d'authentification du type SHA (Secure Hash Algorithm) bien connu 
de rhomme du metier. Ce dernier pourra cependant, pour plus de 
derails, se reTerer a la publication 180-1 du 31 mai 1994 diffusee par 
le FIPS (Federal Information Processing Standards). 

Ces moyens de calcul d^terminent un certificat 
d'authentification CTF a partir de fonctions logiques operant sur les 
bits des donnees numeriques de jeu (etape 1). Ainsi, pour un bloc de 
1 kilo octet d'applicatif, le certificat d'authentification comporte par 
exemple 120 bits. 

A partir d'une cle de cryptage-jeu Km, commune a tous les 
objets portatifs, a tous les boltiers et a toutes les stations de 
validation, des moyens de cryptage, par exemple utilisant l'algorithme 
de cryptage DES (Data Encryption Standard) effectuent un cryptage du 
certificat d'authentification CTF (etape 2) de facon a delivrer un 
certificat d'authentification crypte CTFc. Les donnees num6riques de 
jeu et le certificat d'authentification crypto sont alors stockes dans la 
memoire de jeu MJ de l'objet portatif (6tape 3). 

L'objet portatif est alors pret a etre diffuse dans le public. 

Quant au bolder, on stocke dans la memoire de c\6 MC de 
celui-ci, par exemple lors de sa fabrication sur site, une cle de 
cryptage-boitier Kf (6tape 4). Le boTtier est alors 6galement pret a etre 
diffus6 dans le public. 

Un joueur peut se procurer un tel boitier aupres d une station 
de validation du type de la station ST. Lors de cette operation, on fait 
coopdrer le boitier et la station par l'interm6diaire d'interfaces de 
communication respectives de facon a lire «5tape 5) la cl6 de cryptage- 
boitier Kf stockee dans la memoire de c!6 du boitier. Ces interfaces 
peuvent 6tre, notamment quand elles sont du type a couplage 
capacit6/inductif, les mgmes que les interfaces ESB et ESS. Elles 



WO 96/34368 



14 



PCT/FR96/00645 



10 



15 



peuvent etre egalement distinctes de ces dernieres, par exemple du 
type mecanique a connecteurs. Le processeur PR de la station de 
validation connaissant la cle de cryptage-jeu Km, (par exemple 
stock6e dans le fichier central TB) effectue alors par 1'intermediaire de 
moyens de cryptage du type DES un cryptage (etape 6) de la cle Km a 
Vaide de la c!6 de cryptage/boitier Kf. Cette cle de cryptage-jeu 
cryptee sous Kf, et reference Kmc, est alors stockee (6tape 7) dans la 

memoire de cle du boitier. 

Lorsque le joueur souhaite jouer a un jeu particulier, il se 
procure aupres dun d6taillant s P 6cialise un objet portatif contenant le 
logiciel de jeu correspondant. Le joueur insere alors 1'objet portatif 
dans le logement correspondant du boitier de facon a faire coo P 6rer les 
interfaces respectives ESC et ESB de l objet et du boitier. 

Les moyens de decryptage, par exemple du type DES, 
incorpores de facon logicielle dans Vunite de traitement UT du boitier 
d6cryptent la cle de cryptage-jeu crypt6 Kmc. L'unit6 de traitement lit 
les donn6es numeriques de jeu ainsi que le certificat d'authentification 
crypte CTFc stockes dans lobjet portatif, par Vintermediaire dun 
protocole s6rie via interface ESB. L'unitd de traitement UT recalcule 
20 alors un certificat dauthentification a partir des donnees numeoques 
de jeu JE, d6crypte le certificat d authentification crypte CTFc a 1 a!de 
de la cl6 de cryptage-jeu Km, compare le certificat dauthentification 
recalcule et le certificat d'authentification stock6 de fa 5 on a verifier 
l'authenticit6 du logiciel de jeu (6tape 8). 

L'ensemble de donn6es numeriques de jeu JE est stocke dans 
la memoire de travail MT du boitier de fa 5 on a pouvoir etre exploite 
ulterieurement et directement par Vunit6 de traitement UT aux fins 

d'execution du jeu. 

II convient de noter ici que, notamment lorsqu'on utilise un 
certificat de type SHA, la verification de Identification du logiciel 
de jeu JE peut se faire soit "au fil de Teau", soit lorsque Vensemble du 
logiciel a 6t6 transfer* dans la m6moire de travail MT, cette derniere 
solution necessitant une plus grande capacite de m6moire vive. 

A ce stade, le boitier est apte au jeu et le joueur peut jouer a 
35 I'aide de son boitier (6tape 9). 
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A la fin du jeu, ou en cours de celui-ci selon le type de jeu 
employe ou Tissue de celui-ci, une information de resultat IFR est 
d61ivr6e par le logiciel de jeu, et celle-ci est cryptee (etape 10) par 
1'unite de traitement UT en utilisant une cie de cryptage-r6sultat qui 
est, dans le cas present, identique a la cie de cryptage-jeu Km. On 
obtient alors une information de resultat cryptee IFRc qui est 
transferee via les interfaces respectives du bolder et de l'objet portatif 
de facon a etre stockee (etape 11) dans la memoire de resultat MR de 
l'objet. 

Le joueur peut alors aller faire valider son resultat de facon a 
toucher eventuellement son gain. 

Pour ce faire, le joueur retire l'objet portatif du bolder, et le 
communique a une station de validation, qui peut etre la meme que 
celle aupres de laquelle il s'est procure son bolder, ou bien une autre. 
On etablit alors une cooperation entre l'objet portatif et la stadon. Le 
processeur PR de la station lit alors dans la memoire de resultat de 
l'objet portatif (etape 12) l'information de resultat cryptee IFRc et les 
moyens de decryptage de cette station, par exemple du type DES, 
connaissant la cie de cryptage-jeu Km, decryptent l'information IFRc 
de facon a obtenir l'information de resultat IFR et permettre le 
paiement du gain. 

Si le joueur decide ulterieurement de jouer a nouveau, il lui 
suffit de se procurer un autre objet portatif contenant un jeu du meme 
type ou d'un type different et de le faire coop£rer avec son bolder pour 
jouer. 

Dans la variante de mise en oeuvre illustrde sur la figure 5, et 
destinee a augmenter la security du dispositif, il est pr6vu une 
alteration 20 du cerdficat d'authendficadon crypte CTFc de l'objet 
portatif apres que la verification de Tauthentification du logiciel de 
jeu a ete effectuee par 1'unite de traitement du bolder. Cette alteration 
consiste par exemple en une modification de la valeur de certains au 
moins des bits du cerdficat d'authendficadon. 

Par ailleurs, avant de stocker l'information de resultat cryptee 
IFRc dans la memoire de resultat de l'objet, on verifie si cette 
alteration a eu lieu (etape 21). Dans 1'affirmative, on autorise le 
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stockage dans la m6moire de resultat MR"et dans la negative, on 

interdit ce stockage. 

D'une facon g6nerale, l'objet portatif est alimente par 
l'interm6diaire du bolder ou de la station. Toutes les fonctions qui 
5 viennent d'etre decrites en relation avec les donnees stockees ou a 
stocker dans l'objet portatif, notamment Alteration du certificat 
d'authentification, peuvent etre effectives directement de facon 
logicielle par l'unite de traitement du boitier. Dans ce cas, le 
microprocesseur CPU de l'objet portatif peut etre omis. Ceci etant, 
10 l'existence d'un tel microprocesseur permet deffectuer ces operations 
^alteration (ou d'invalidation) et de verification d'alteration puis 
d'interdiction 6ventuelle d'ecriture de 1'information de r6sultat cryptee, 
directement au niveau de l'objet portatif. De meme, l'existence d'un 
microprocesseur CPU sur l'objet portatif permet 6ventuellement un 
cryptage du logiciel de jeu au niveau de l'objet portatif avant transfer! 
dans la m6moire de travail du boitier. 

II se peut egalement que la cl6 de cryptage-resultat utilisee 
pour crypter Information de resultat ne soit pas la cl6 de cryptage-jeu 
Km et ne soit pas connue a l'avance par la station de validation. II peut 
en etre ainsi lorsque la cle de cryptage-resultat est tout simplement la 
cle de cryptage-boitier Kf. Dans ce cas, le mode de mise en oeuvre 
illustr6 sur la figure 6 prevoit non seulement le stockage de 
1'information de r6sultat cryptee IFRc dans la m6moire de r6sultat de 
l'objet (etape 11) mais aussi le stockage, dans cette memoire de 
resultat ou dans une autre m6moire (6tape 30, d une information de cle 
ICR permettant ult6rieurement de d6terminer la cle de cryptage- 
resultat qui a 6t6 utilisde pour crypter 1'information de resultat. 

Cette information ICR peut etre par exemple la cle de 
cryptage-resultat proprement dite ou bien un identifiant du boitier qui 
30 est associe de facon biunivoque au boitier et par consequent a la cl6 de 
cryptage-boitier Kf qui a et6 stockee. 

Le processeur de la station de validation lit alors (6tape 31) 
1'information de cl6 ICR et determine a partir dune table de 
correspondance entre les identifiants et les c!6s de cryptage-bomer, 
35 stock6e, de preference de facon protegee, dans le fichier TB, la cl6 de 
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cryptage-r6sultat Kr (en l'esp&ce la c!6 Kf) qui a 6t6 utilised (6tape 
32). 

II peut etre ensuite proc6d6 au dtScryptage de l'information de 
r6sultat (6tape 13). 

Cette variante de 1'invention permet en outre d'identifier 
pr6cis6ment les boitiers ayant conduit & des jeux gagnants et 
d'effectuer 6ventuellement des statistiques. Ceci offre une possibility 
suppldmentaire de d6tection d'une fraude 6ventuelle si Von s'apersoit 
qu'un meme boTtier conduit trbs souvent h des jeux gagnants. 
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REVINDICATIONS 

1. Proced6 d'activation et de protection anti-fraude d'un 
dispositif electronique de jeu comportant au moins un boltier (BT) 
dans lequel a 6te stockee au moins une cl6 de cryptage-resultat, ainsi 
qu'au moins un objet portatif (OB) capable de cooperer avec le boitier 
5 et dans lequel a £te stocke un ensemble de donnees numeriques de jeu 
authentifiable (JE) et repr6sentatif dun jeu, proc6de dans lequel on 
fait coop6rer l'objet portatif avec le boitier, on verifie (8) au sein du 
bolder l'authentification de l'ensemble de donnees de jeu et on stocke 
cet ensemble de donnees de jeu dans une m6moire de travail (MT) du 
10 boitier, de facon a autoriser le deroulement (9) du jeu au niveau du 
boitier, puis, apres le d6roulement d'au moins une partie du jeu, on 
crypte (10) au sein du boitier une information de r6sultat (IFR) 
dependante dudit jeu a l'aide au moins de ladite cl6 de cryptage- 
r6sultat, et on stocke (11) cette information de resultat cryptee (IFRc) 
15 dans une memoire de r6sultat (MR) de l'objet portatif, puis, on fait 
coop6rer Tobjet portatif avec une station de validation (ST) ayant 
acces a ladite cl6 de cryptage-r6sultat, ladite station effectuant un 
traitement de validation (13) a partir au moins de ladite information de 
resultat crypt6e et de ladite cl6 de cryptage-resultat. 
20 2. Proc6d6 selon la revendication 1, caracteris6 par le fait que 

le traitement de validation comporte un decryptage de l information de 

resultat cryptde. 

3. Procedd selon la revendication 1, caracteris6 par le fait 
qu'on stocke dans l'objet portatif, conjointement avec l'information de 

25 resultat cryptde, l'information de r6sultat non cryptee, et par le fait 
que le traitement de validation comporte un recryptage de 
l'information de r6sultat non cryptee stockee dans l'objet portatif et 
une comparaison de cette information de resultat recryptee avec 
l'information de r6sultat crypt6e et stock6e dans la m6moire de resultat 

30 de l'objet portatif. 

4. Proc6d6 selon l'une des revendications 1 a 3, caract6nse 
par le fait que lorsque l'authentification de l'ensemble de donnees de 
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jeu de 1'objet portatif a 6t6 vSrifiee et que ledit ensemble a 6te stocks 
dans la memoire de travail du boitier, on interdit (20) toute 
exploitation ultSrieure, par le boitier, de l'ensemble de donn6es de jeu 
de cet objet portatif. 

5. ProcSdS selon la revendication 4, caracterise" par le fait 
que, le dispositif comprenant plusieurs borders et plusieurs objets 
portatifs, lorsque l'authentification de l'ensemble de donnSes de jeu de 
l'un des objets portatifs a 6t6 verifiee et que ledit ensemble a 6t6 
stocks dans la memoire de travail de l'un des boitiers, on interdit toute 
exploitation ulterieure, par Tun quelconque des boitiers, de l'ensemble 
de donn6es de jeu de cet objet portatif. 

6. ProcSdS selon l'une des revendications prScSdentes, 
caracterisS par le fait qu'on authentifie l'ensemble de donnees de jeu 
stocks dans 1'objet portatif en lui adjoignant un certificat 
d'authentification (CTF) lis de facon biunivoque audit ensemble de 
donnees de jeu (JE) et par le fait que la verification de 
l'authentification de l'ensemble de donnees de jeu comporte un 
recalcul du certificat d'authentification au sein du boitier et une 
comparaison entre le certificat d'authentification recalculS et le 
certificat d'authentification stocks dans 1'objet portatif. 

7. ProcSdS selon la revendication 4 ou 5 prise en combinaison 
avec la revendication 6, caracterise- par le fait qu'on interdit toute 
exploitation ulteneure dun ensemble de donnees de jeu en alterant, 
dans 1'objet portatif correspondant, au moins partiellement ledit 
certificat d'authentification et/ou au moins partiellement l'ensemble de 
donnSes de jeu. 

8. ProcSde selon l'une des revendications precSdentes prise en 
combinaison avec la revendication 4, caracterisS par le fait qu'on 
autorise (21) le stockage de l'information de rSsultat cryptee dans 
1'objet portatif que si l'on a, au prealable, interdit toute exploitation 
ulteYieure de l'ensemble de donnees de jeu de cet objet portatif. 

9. ProcSdS selon l'une des revendications prScSdentes, 
caracterisS par le fait que Ton stocke dans le boitier une clS de 
cryptage-boitier (Kf). 

10. ProcSdS selon l'une des revendications precSdentes, 
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caract6ris6 par le fait qu'on stocke dans le boitier au moins une cle de 
cryptage-jeu (Km), par le fait que l'authentification de l'ensemble de 
donnees de jeu stock6 dans l'objet portatif comporte un eryptage au 
moins partiel de cet ensemble de donndes de jeu, ou d une information 
(CTF) relive a cet ensemble de donnees de jeu, a l'aide de la cl6 de 
cryptage-jeu (Km), avant lecture par le boitier, et par le fait que la 
verification de l'authentification de cet ensemble de donnees de jeu 
comporte un decryptage au sein du boitier a l'aide de la cl6 de 
cryptage-jeu. 

11. Procedd selon les revendications 6 et 10, caract6ris6 par 
le fait que l'on crypte et on decrypte uniquement le certificat 

d'authentification (CTF). 

12. Proc6d6 selon la revendication 9 prise en combinaison 
avec la revendication 10 ou 11, caract6ris6 par le fait que I on stocke 

15 dans le boitier la cle de cryptage-jeu (Km) ayant 6t6 cryptee a l'aide de 
la c\6 de cryptage-boitier (Kf). 

13. Precede selon la revendication 9 prise en combinaison 
avec l'une des revendications 10 a 12, caractdrisd par le fait que, le 
dispositif comportant plusieurs boitiers et plusieurs objets portatifs, 

20 une cl6 de cryptage-boitier (Kf) differente est associde a chaque 
boitier tandis que la cle de cryptage-jeu (Km) est commune pour tous 
les boitiers et a tous les objets portatifs, par le fait que la cl6 de 
cryptage-boitier dun boitier est stockde dans celui-ci avant le 
stockage de la cl6 de cryptage-jeu, et par le fait que l'ensemble de 

25 donn6es de jeu dun objet portatif est stocke dans celui-ci, deja au 
moins partiellement crypte, ou associd a une information (CTFc) deja 
au moins partiellement crypt6e, a l'aide la cl6 de cryptage-jeu. 

14. Proc6d6 selon la revendication 9 ou Tune des 
revendications 10 a 13, caractens6 par le fait que la cle de cryptage- 

30 rdsultat (Kr) est la cle de cryptage-boitier (Kf), ou la cle de cryptage- 
jeu (Km), ou est obtenue a partir d'une combinaison de la cle de 
cryptage-boitier et de la cl6 de cryptage-jeu. 

15. Proceed selon l'une des revendications precedentes, 
caracterisd par le fait que Ton stocke dans l'objet portatif coop6rant 

35 avec le boitier, une information de cle (ICR) associde de fa?on 
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biunivoque a ladite cl6 de cryptage-resultat, et par le fait que la 
station de validation a acces a ladite cie de cryptage-resultat en lisant 
ladite information de cl6 stockee dans l'objet portatif. 

16. Proc6d6 selon 1'une des revendications prec<*dentes, 
caract6ris6 par le fait que l'ensemble de donnees de jeu (JE) d'un objet 
portatif est lu par l'intermediaire d'un protocole serie entre l'objet 
portatif et le boTtier. 

17. Dispositif eiectronique de jeu, caract6ris6 par le fait qu'il 
comprend au moins un boitier (BT), au moins un objet portatif (OB), 
et au moins une station de validation (ST), par le fait que l'objet 
portatif comporte une memoire de jeu (MJ) contenant un ensemble de 
donnees de jeu (JE) authentifiable et representatif dun jeu, une 
m6moire de resultat (MR) apte a contenir une information de resultat 
cryptee (IFRc), une premiere interface de communication (ESC) apte a 
cooperer avec une interface de communication-bolder (ESB), et une 
deuxieme interface de communication (ESC) apte a communiquer avec 
une interface de communication-station (ESS), par le fait que le 
boitier comporte une memoire de cie (MC) contenant une cie de 
cryptage-resultat, une memoire de travail (MT) accessible en 6criture 
et en lecture, et une unite de traitement (UT) reli6e a ces memoires 
ainsi qu'a l'interface de communication-boitier, l'unit6 de traitement 
<5tant capable, lors d'une cooperation entre l'interface de 
communication-boitier et la premiere interface de communication de 
l'objet, de verifier l'authentification de 1'ensemble de donnees de jeu 
m6moris<5 dans l'objet et de stocker ledit ensemble dans la memoire de 
travail de facon a permettre le deroulement du jeu au niveau du 
boitier, puis de crypter une information de r6sultat (IFR) ddpendante 
dudit jeu, a l aide de la cl6 de cryptage-resultat, et de communiquer 
cette information de resultat cryptee (EFRc) a l'interface de 
communication-boitier aux fins de son stockage dans la memoire de 
resultat de l'objet, et par le fait que la station de validation (ST) 
comporte des moyens (PR) aptes a determiner ladite cie de cryptage- 
resultat et des moyens de traitement- station (PR) aptes a lire 
rinformation de resultat cryptee via l'interface de communication- 
station, lors d'une cooperation entre l'objet portatif et la station, et a 
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effectuer un traitement de validation a partir au moins de cette 
information de resultat cryptee et de la cl€ de cryptage-resultat. 

18. Dispositif selon la revendication 17, caract6ris6 par le 
fait que les moyens de traitement- station component des moyens de 

5 decryptage-station aptes a decrypter reformation de r6sultat cryptee. 

19. Dispositif selon la revendication 17, caract6ris6 par le 
fait que l'unite de traitement du boitier est apte a communiquer 
6galement information de resultat non-crypt6e a l'interface de 
communication-boitier aux fins de son stockage dans la memoire de 

10 resultat de l'objet, et par le fait que les moyens de traitement- station 
sont en outre aptes a lire rinformation de r6sultat non cryptee via 
l'interface de communication-station, et comportent des moyens de 
cryptage-station aptes a crypter ladite information de resultat non 
cryptee a laide de la cl6 de cryptage-r6sultat, ainsi que des moyens de 

15 comparaison pour comparer rinformation de resultat cryptee 
recalculee avec rinformation de r6sultat cryptee stockee dans la 
memoire de resultat de l'objet portatif. 

20. Dispositif selon l'une des revendications 17 a 19, 
caracteris6 par le fait que la premiere interface de communication 

20 (SEC) de l'objet portatif est une interface s6rie. 

21. Dispositif selon l'une des revendications 17 a 20, 
caracterise par le fait que l'ensemble de donnees de jeu authentifiable 
est associe a un certificat d'authentification et par le fait que les 
moyens de verification de l'authentification de cet ensemble de 

25 donnees de jeu comportent des moyens de calcul de certificat aptes a 
recalculer ledit certificat d'authentification a partir de l'ensemble de 
donnees de jeu, et des moyens de comparaison aptes a comparer le 
certificat recalcule et le certificat stocke dans la memoire de jeu de 
l'objet portatif. 

30 22. Dispositif selon l'une des revendications 17 a 21, 

caracterisd par le fait qu'il comprend des moyens de cryptage aptes a 
crypter au moins partiellement l'ensemble de donnees de jeu 
authentifiables (JE), ou une information (CTF) relide a cet ensemble 
de donnees de jeu, a partir d'au moins une cl6 de cryptage-jeu, et par 

35 le fait que la memoire de cl6 du boitier est apte a contenir ladite cie de 
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cryptage-jeu tandis que les moyens de v6rification de l'authentification 
de 1'ensemble de donnees de jeu component des moyens de decryptage 
reli6s a la memoire de c\6. 

23. Dispositif selon les revendications 21 et 22, caracterisS 
par le fait que les moyens de cryptage cryptent uniquement le 
certificat d'authentification (CTF). 

24. Dispositif selon la revendication 22 ou 23, caracterisg par 
le fait que les moyens de cryptage (CPU) sont incorpor6s a l'objet 
portatif. 

25. Dispositif selon Tune des revendications 22 a 24, 
caracteris6 par le fait que la c\6 de cryptage-jeu est stockee crypt6e ei 
par le fait que lunite de traitement (UT) du boitier comporte des 
moyens de decryptage de cette c!6 de cryptage-jeu. 

26. Dispositif selon l une des revendications 17 a 25, 
caractense- par le fait qu'il comprend des moyens (CPU) d'invalidation 
de 1'ensemble de donn6es de jeu authentifiable d'un objet portatif. 

27. Dispositif selon Tune des revendications 17 a 26, 
caract6ris6 par le fait qu'il comprend des moyens (CPU) d'interdiction 
de l^criture de l'information de r6sultat crypt6e dans la memoire de 
rdsultat de l'objet portatif. 

28. Dispositif selon la revendication 26 ou 27, caracteris6 par 
le fait que les moyens d'invalidation (CPU) et/ou les moyens 
d'interdiction (CPU) sont incorpor6s dans l'objet portatif. 

29. Dispositif selon l'une des revendications 17 a 28, 
caracteris6 par le fait qu'il comprend plusieurs boitiers, plusieurs 
objets portatifs et plusieurs stations de validation, l un quelconque des 
objets portatifs 6tant capable de coop6rer avec l'un quelconque des 
boitiers et avec l'une quelconque des stations de validation. 
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